Pinning SSL avec TrustKit

Le pinning SSL « maison », c’est un peu compliqué parfois.

Heureusement, l’excellente équipe de Data Theorem est là.

Ils fournissent depuis plusieurs années la solution TrustKit sur iOS, tvOS, macOS et watchOS qui permet de mettre en place le pinning SSL en 2 temps 3 mouvements.

Ils fournissent maintenant une version Android de TrustKit compatible avec les API 15+.

Pour ceux qui ne connaissent pas le fonctionnement de TrustKit, c’est franchement simple.

En gros,  il faut déterminer ce que l’on va pinner dans la chaîne de confiance, à l’instar de HPKP :

  • le certificat de l’autorité de certification (CA)
  • le certificat de l’autorité de certification intermédiaire (ies)
  • le certificat du serveur (EE, leaf)

À partir de là, on peut calculer les clés publiques actuelles. Il est fortement conseillé d’utiliser une clé de secours. Et, enfin, on peut ajouter une date d’expiration.

En gros, si les clés sont validées, ça passe. Sinon, on regarde côté clé de secours. Et, passé la date d’expiration, on ne fait plus de pinning.

Et ensuite : TrustKit fait le job. Et ça, c’est top.

Statistiques des OS mobiles

Apple vient de publier les nouveaux chiffres, issus des données de l’App Store :

  • 79 % des utilisateurs sont sur iOS 10 (fin 2016)
  • 16 % sont sur iOS 9 (fin 2015)
  • 5 % sont sur une des versions antérieures

Soit 95 % de iOS 9+. Un score plutôt honorable.

Mixpanel voit des chiffres plus hauts, au-delà de l’App Store :

  • 90 % sur iOS 10
  • 8 % sur iOS 9
  • 2 % sur des versions antérieures

Soit 98 % de iOS 9+.

En parallèle, 1,2 % des utilisateurs utilisent Android 7 (fin 2016). Et 30,7 % sont sur Android 6 (fin 2015). Ce qui fait 31,9 % sur Android 6+.

Il faut remonter à Android 4.2 (fin 2012) pour passer la barre des 90 %.

Selon Mixpanel, Android 7 serait à 3 % et Android 6 à 46 %. Android 6+ serait donc à 49 % du parc.

Mieux vaut développer plutôt sur iOS 9+ et sur Android 4.2+ si vous souhaitez avoir un bon équilibre entre le nombre d’utilisateurs actifs et la stabilité de l’app.

Si vous misez sur la sécurité, optez plutôt pour iOS 10 (ATS présent depuis iOS 9 mais surtout jailbreak plus difficile donc accès au binaire limité) et Android 6.0 (l’API 23 introduit network_security_config.xml qui est un équivalent de ATS avec le pinning SSL en plus).

App Store : 76 % pour iOS 10

Les chiffres officiels d’Apple sont tombés.

76 % des utilisateurs utilisent iOS 10 (fin 2016). Soit une progression de 13 % en 2 mois. 18 % sont sur iOS 9 (fin 2015). Et seulement 6 % sont sur une version inférieure.

En étant compatible iOS 9 et supérieurs, vous pouvez atteindre 94 % des utilisateurs.

Mais, objectivement, 76 % est aussi très bien si vous souhaitez utiliser des fonctionnalités récentes !

Une nouvelle toujours réjouissante pour les développeurs. 🙂

À titre de comparaison du côté Android, si vous souhaitez être compatible avec 60,7 % des utilisateurs, vous devez fonctionner sur les versions 5 (mi-2015) et supérieures. Pour passer au-delà des 75 %, il faudra accepter d’être compatible Android 4.4 (fin 2013). Et pour passer au-delà des 90 %, il faudra passer à la version Android 4.2 (fin 2012). La dernière version (7) sortie fin 2016 est présente sur 0,4 % des appareils. Et si on veut les deux dernières versions (6 et 7), on atteindra au mieux 26,7 % des utilisateurs.

Ce qui est pénalisant côté développement mobile l’est également pour la partie web. Les versions inférieures à Android 4.4 ayant par défaut un navigateur obsolète.

Mais bon. Côté iOS, on reste au top technologiquement. Et ça, c’est une super nouvelle !

Source : https://developer.apple.com/support/app-store/

Paiement sans contact Apple Pay avec Orange Cash

Un article super-rapide.

J’ai testé Apple Pay via Orange Cash sur iPhone, Watch et Mac : c’est nickel.

Apple Pay

Apple Pay est la solution de paiement « générique » développée par Apple.

En gros, on ajoute sa CB dedans (si la banque est partenaire) et on peut payer partout où il est possible de payer en sans contact.

On peut payer en magasin, mais aussi sur le web sur iOS et sur macOS (il faut utiliser Safari comme navigateur par défaut), et dans les apps.

Le tout est intégré le plus facilement possible, c’est rapide, c’est (hyper) sécurisé. Et on ne subit pas les plafonds de paiement.

En gros, c’est la version 2 du sans contact. (ou plutôt la version terminée)

Orange Cash

Orange Cash est une solution développée par Orange (et ouais !) qui permet de disposer d’un porte-feuille virtuel sur Android, Windows Phone et iOS. Du moment qu’on utilise le réseau de l’opérateur.

On recharge ce porte-feuille virtuel et on peut ensuite payer partout.

Depuis ce matin, Orange Cash est disponible sur iOS.

J’ai donc – enfin – pu tester Apple Pay.

En magasin

Le paiement sur iPhone :

  • j’approche mon iPhone, qui me propose la CB à débiter
  • le magasin, la date et le montant sont affichés
  • je pose juste mon doigt sur le capteur d’empreinte digitale pour valider (sans déverrouiller, sans lancer une app ou quoi que ce soit)
  • c’est fait.

La même chose avec la Watch :

  • je « clic » 2 fois le bouton latéral : la CB s’affiche
  • je m’approche du terminal de paiement (2-3 cm)
  • c’est payé.

C’est franchement super facile. On n’a pas à chercher. Pas d’app ou autre. C’est facile et rapide.

Sur le web

J’ai testé sur mon iPhone, dans Safari : on appuie sur le bouton d’achat, une « note » apparait, on a juste à valider le paiement avec son empreinte digitale.

Sur le Mac, dans Safari : on appuie sur le bouton d’achat, la « note » s’affiche à l’écran et demande à être validée sur l’iPhone ou la Watch. La même note est affichée sur l’appareil concerné. Ensuite, c’est comme en magasin : empreinte digitale ou double tapotement.

Facile, rapide. Par contre, ça ne fonctionne que dans Safari qui doit être le navigateur par défaut. (sur Mac, j’utilise plutôt Chrome)

Pour conclure

Orange Cash fonctionne bien. Avec Apple Pay, c’est nickel.

A terme, les CB pourraient bien disparaitre car le processus est plus long et pas forcément plus sécurisé :

  • le commerçant saisit le montant
  • on insère la CB
  • on saisie le code (à l’abris des regards indiscrets)
  • on redonne le terminal au commerçant
  • le commerçant attend les 2 tickets qu’il doit découper…

Alors que le sans contact via mobile est plus simple :

  • le commerçant saisit le montant
  • on valide le paiement sur le mobile / la montre (peu importe les regards indiscrets)
  • on s’en va : chacun a reçu son ticket via le web.

À Google de sortir Android Pay en France, aux banques de jouer le jeu et adieu la CB.

API Taptic Engine de l’iPhone 7

L’iPhone 7 arrive avec un nouveau type d’interaction. Mais cela mérite une petite explication.

Tout commença avec l’iPhone 6S

Avec l’iPhone 6S, Apple a apporté le 3D Touch. Une technologie qui permet de détecter la pression exercée sur l’écran.

Concrètement, lorsque l’on appuie fort sur une icône, on a un menu supplémentaire qui se déroule. Lorsque l’on appuie sur un contenu, on peut en avoir un aperçu. Et il suffit d’appuyer un peu plus fort pour passer de l’aperçu au contenu en lui-même.

Apple a appelé ce type d’interaction peek & pop. Ce qui correspond au retour « haptique » (un « toc » dans l’écran) que l’on ressent lorsque l’on a l’aperçu (peek) et le contenu en lui-même si on appuie plus fort (pop).

Puis vint l’iPhone 7

La première chose qui surprend avec l’iPhone 7 est que le bouton principal (le bouton rond, le seul présent en façade) n’est plus mécanique mais tactile.

Pour sentir qu’il se passe quelque-chose, Apple propose le même retour haptique que 3D Touch, mais pour le bouton principal. Lorsque l’on appuie sur le bouton principal, on ressent donc un « toc » dans l’iPhone. Ce qui se rapproche du « clic » de l’ancien bouton mécanique.

API Taptic Engine

L’API Taptic Engine permet aux développeurs d’accéder à cette technologie sur iPhone 7.

UIImpactFeedbackGenerator permet de générer un « toc » plus ou moins fort. Qui retentit immédiatement. Ça peut renforcer l’immersion dans les jeux vidéos. Par exemple, dans un jeu de voiture, un petit « toc » correspond à un petit impact, un gros « toc » signifie que la carrosserie a été très endommagée.

UISelectionFeedbackGenerator permet de générer un « toc » plus souple, correspondant à la sélection d’un élément. Par exemple, si je sélectionne un élément dans une liste, je peux utiliser ce « toc » pour renforcer le fait qu’un élément a été sélectionné.

UINotificationFeedbackGenerator permet de générer un « toc » correspondant à une notification. Ces « toc » seront différents s’il s’agit d’une notification d’erreur, de succès ou pour attirer l’attention (warning).

Évidemment, il faut avoir un iPhone 7 entre les mains pour comprendre ce que cela apporte en termes d’expérience utilisateur.

La qualité de l’API se verra donc à moyen/long terme, selon l’adoption par les développeurs.

Bye-bye iOS 8, welcome iOS 10 !

iOS 8, qui est sorti il y a déjà 2 ans, semble bien promis à la retraite.

Selon les statistiques officielles, il ne représenterait que 9 % des appareils au 29 août. Mixpanel annonce seulement à un peu plus de 4 % à la même date.

Sur cette période, les appareils iOS 9 représentent 88 % du parc selon Apple, et un peu plus de 92 % selon Mixpanel.

Mais comment s’explique un tel écart ? Tout simplement, Apple ne comptabilise pas les versions iOS 10. Selon Mixpanel, quasiment 2 % des appareils utilisaient la version beta de iOS au 29 août. En rament les 88 % sur une base 98 au lieu de 100, on arrive à 90 % des appareils.

Les 2 % restants doivent venir des appareils iOS non présents sur l’App Store.

Peu importe, les faits sont là et c’est plutôt sympa : iOS 8, c’est fini. La version minimum de iOS est bien iOS 9.

Le 7 septembre prochain (dans 2 jours), iOS 10 devrait être annoncé par Apple pour une disponibilité courant septembre.

Si le taux d’adoption est identique aux autres versions, 24h après la sortie ce seront 30 % des appareils qui seront équipés. Et environ 60 % dans le mois.

En attendant, découvrez les nouveautés iOS 10 sur le site officiel.

Apps pas fiables ? Pas chez Apple

Ce n’est pas nouveau, Apple a toujours visé un certain niveau de qualité.

Mais, à cause de certains apps « oubliées » ou qui passent au travers des mailles du filet lors de la validation, il arrive que la Firme à la Pomme ait mauvaise presse.

Il n’en faudra pas moins pour que l’entreprise réagisse : un grand ménage de l’App Store a en effet été annoncé. Explications…

Les causes du problème

L’App Store compte, depuis fin 2008, des centaines de millions d’apps. Autant dire, il y a forcément du déchet.

Les périodes de rush

Pendant les périodes de rush, des apps de moins bonne qualité ont pu passer.

D’autant que le processus de validation à très longtemps été exécuté « à la main », d’où un temps de validation très long.

L’Homme est bien souvent plus faillible que la machine. Et on ne peut lui en vouloir.

Les apps anciennes

Des apps de bonne qualité, non mises à jour depuis leur sortie (sous iOS 4 par exemple), ne fonctionneront plus aujourd’hui.

Très concrètement, certaines astuces étaient utilisées par les développeurs pour accéder aux informations du système ou pour modifier la présentation de certains composants. Ces astuces ne sont pas officielles et ne sont pas supportées par Apple.

Par conséquent, lors de la mise à jour de iOS, Apple ne se soucie pas du fonctionnement de ces astuces non-officielles. Le résultat est sans appel : l’application plante.

Les évidentes conséquences

Il faut garder en tête que le système iOS est majoritairement utilisé pour les apps.

Les conséquences de tout ça sont évidentes :

  • apps de mauvaise qualité ou obsolètes = risque de plantage
  • apps fréquemment utilisées = risque de plantage plus important

L’autre conséquence est que la qualité du système iOS est remise en cause du fait des apps réalisées par des éditeurs tiers.

Évidemment, la presse et la concurrence se régalent. iOS parait d’un seul coup bien moins fiable que son principal concurrent Android. Pour autant, grâce à une stratégie commerciale agressive, les smartphones sponsorisés par Google se distribuent deux fois plus que les smartphones vendus par Apple. Mais les deux leaders sont au coude à coude en termes d’utilisation.

Heureusement, ce phénomène qui aura permis de vendre quelques encarts publicitaires est bien éphémère car Apple avait anticipé les choses.

Les remèdes

Apple a déjà mis en place depuis un certain temps certaines procédures permettant de régler ces problèmes qualitatifs.

Automatisation de ce qui peut l’être

La validation technique des apps est réalisé de manière automatique depuis quelques temps maintenant.

Ce qui passe par les équipes de validation correspond à tout ce qui est un peu plus subjectifs. (droits d’auteur, contenu explicite, etc)

L’aspect sécurité, respect des accès aux API, vérification de la qualité des binaires, et autres tâches techniques passe principalement par des robots.

A priori, certains tests unitaires (sélectionner tel champs, aller dans tel menu, etc) sont également réalisés par des robots afin de détecter les plantages. A priori.

La conséquence en a été immédiate : on est passé de 7 jours de validation à 24/48h.

Nettoyage de l’App Store

A partir du 7 septembre, les anciennes apps et les apps de moins bonne qualité vont être supprimées.

Les apps qui plantent immédiatement seront supprimées de l’App Store dans l’instant. Pour les apps qui ont seulement des dysfonctionnements ou qui ne sont plus au niveau de qualité requis, les développeurs auront 30 jours pour les mettre à jour.

Autres actions programmées

Comme annoncé en juin lors de la WWDC, à partir de janvier 2017 toutes les apps devront adopter ATS (App Transport Security) de sorte à s’assurer que les connexions vers l’extérieur sont suffisamment sécurisées.

Au moment de la validation, les connexions non-sécurisées devront être justifiées par les développeurs. (Let’s Encrypt fournit des certificats SSL gratuits, Heroku héberge gratuitement le SSL depuis 2016)

Si vous utilisez du HTTP dans un réseau local, la non-sécurisation se justifie un peu. Mais il y a une exception spécifique introduite par iOS 10 pour les réseaux locaux.

Conclusion

(commentaire de l’auteur : la conclusion, ça fait bien)

Depuis 8 ans, l’App Store a bien évolué. iOS s’est (véritablement) renouvelé chaque année, avec une adoption massive des nouvelles versions. Et parfois il faut faire un peu de ménage pour garder un certain niveau de qualité (à quoi servent les centaines d’apps Lampe de Poche alors que la lampe de poche est une fonctionnalité de l’OS depuis plusieurs versions ?).

Si certains détestent la rigueur d’Apple qui lui donne une image « fermée » voire « élitiste », je peux vous assurer qu’en qualité de développeur c’est un véritable bonheur de pouvoir servir au mieux les utilisateurs.

Nous allons continuer de réaliser pour vous les meilleures apps possibles. Portez-vous bien et bonne rentrée !

Mise à jour de sécurité importante des iPhone et iPad

Comme tous les systèmes d’exploitation, iOS contient des failles de sécurité. Et certains sont particulièrement acharnés pour les trouver. C’est le cas de la dernière en date, corrigée grâce à la mise à jour 9.3.5.

L’origine de la faille

Cette faille (ces failles en réalité) n’a pas été trouvée par un hacker quelconque dans sa chambre d’étudiant.

Elle a été trouvée par l’organisation israélienne NSO Group qui a pour spécialité la cyber-guerre. En gros, des entreprises et des gouvernements ont investi – probablement des millions de dollars – pour trouver la faille permettant d’espionner journalistes et activistes.

C’est d’ailleurs Ahmed Mansoor, un défenseur des droits de l’homme, qui en a été la victime et qui a permis de détecter et combler cette faille.

Le pauvre homme a reçu le 10 août un SMS avec un lien suspect. Au lieu de cliquer sur le lien, il a contacté l’organisation Citizen Lab (défense des droits numériques) qui a demandé à la société Lookout (sécurité mobile) d’analyser la chose.

C’est là qu’ils ont découvert le spyware (logiciel d’espionnage) Pegasus, vendu aux gouvernements et aux entreprises prêt(e)s à payer le prix fort pour espionner leurs cibles.

Pegasus

Pegasus est un outil reposant en réalité sur 3 failles :

  1. CVE-2016-4655 : une faille permettant de calculer la position du noyau (le coeur du système) en mémoire
  2. CVE-2016-4656 : une faille permettant – à partir de l’accès au noyau – de jailbreaker (faire sauter les verrous du système) l’iPhone sans que l’utilisateur ne s’en rende compte
  3. CVE-2016-4657 : une faille permettant d’accéder à un espace mémoire spécifique depuis Safari

En gros, les hackers procèdent ainsi :

  1. Un lien est envoyé
  2. L’utilisateur ciblé clique sur le lien
  3. Le lien s’ouvre dans Safari
  4. La page de destination contient un code permettant d’accéder à la mémoire (via la faille CVE-2016-4657)
  5. L’espace mémoire ciblé (le noyau) est calculé grâce à la faille CVE-2016-4655
  6. La sécurité du noyau saute grâce à la faille CVE-2016-4655
  7. Des données sont écrites dans cet espace mémoire de sorte à faire sauter les sécurités du système
  8. Une fois le système déverrouillé, le logiciel espion est installé sans que l’utilisateur ne s’en soit rendu compte
  9. Les données transitent à volonté, car tout le système est ouvert.

Bref : Pegasus n’est pas cool.

iOS n’est donc pas sécurisé ?

Cette attaque démontre le contraire.

Il n’a pas fallu une mais trois failles de sécurité pour pouvoir installer un logiciel malveillant.

Si l’une des trois failles n’avait pas été trouvée, le système n’aurait pas pu être attaqué.

Également, Apple a été informée de la faille le 10 août. iOS a été corrigé en 15 jours. Et la mise à jour a été diffusée dans la foulée, sur tous les appareils concernés.

Pour une prochaine attaque (et il y en aura forcément une), il faudra encore trouver plusieurs failles.

Sachant qu’en parallèle iOS 10 va sortir dans les prochaines semaines avec de nouveaux mécanismes de sécurité :

  • par défaut, pas de support du SSL non sécurisé (oui, c’est paradoxale, mais véridique)
  • nouvelles options pour sécuriser le contenu web au sein des apps
  • l’intégration du support de Certificate Transparency au sein des apps (complément au SSL)
  • etc

Globalement, c’est une course contre la montre. Mais Apple s’en sort très très bien, même si on voit aujourd’hui qu’il ne faut pas relâcher l’effort.

Que puis-je faire pour garantir ma sécurité ?

Les règles sont simples :

  • protéger ses comptes (email, Apple, Facebook, Twitter, etc) avec un maximum de sécurité
  • protéger l’accès à son iPhone
  • mettre à jour l’iPhone régulièrement
  • utiliser des outils comme Lookout afin de s’assurer que tout va bien.

En suivant ces quelques règles de base, on s’en sort plutôt bien et ça ne prend pas spécialement de temps en plus au quotidien.

On ne le dira jamais assez : protégez-vous !

iOS 10 : un point sur la compatibilité

En général, une application iPhone ou iPad est compatible avec les versions n – 1 de iOS.

Qu’en est-il avec iOS 10 ? Qu’en est-il du matériel ? Tout vous sera dévoilé dans cet article.

État de l’art

Aujourd’hui, la plupart de applications sont compatibles iOS 8 et iOS 9. Ce qui permet d’être compatible avec plus de 90 % des appareils : 97 % selon les chiffres Apple de juillet 2016, sachant que quasiment 90 % des appareils sont sur iOS 9.

Une particularité cependant : tous les appareils compatibles iOS 8 sont également compatibles iOS 9, ce qui facilite l’adoption. Même si l’expérience passée a montré que le changement de compatibilité matérielle n’est pas vraiment un frein, un appareil iOS pouvant supporter les dernières mises à jour pendant 4 à 5 ans (on change de smartphone tous les 3-4 ans en général, le temps que les demandes de fonctionnalités de la part des utilisateurs les rendent « obsolètes »).

Par exemple, iOS 9 est compatible avec l’iPhone 4S sorti le 14 octobre 2011. Sachant qu’il faut au minimum un iPhone 5 pour jouer à Pokémon Go (des millions d’apps distribuées), cela donne une idée de l’impact sur le parc actuel.

Le taux d’adoption de iOS 9 a été très rapide : plus de 50 % en moins d’un moins, au moins 30 % dès le premier jour de sortie.

Les appareils compatibles avec iOS 9 :

  • tous les iPhone à partir de l’iPhone 4S (fin 2011)
  • tous les iPad à partir de l’iPad 2 (début 2011)

Et iOS 10 ?

iOS 10 vient avec de nombreuses nouvelles fonctionnalités qui dépassent les capacités de l’iPhone 4S et l’iPad 2. Tout en ne profitant pas pleinement de la technologie des appareils les plus récents.

Les appareils compatibles sont donc :

  • tous les iPhone à partir de l’iPhone 5 (iPhone 4S disparait)
  • tous les iPad à partir de l’iPad 4 (iPad 2 et iPad 3 disparaissent)
  • tous les iPad Mini à partir de l’iPad Mini 2 (iPad Mini 1 disparait)

En gros, tous les appareils sortis à partir de fin 2012 sont compatibles. C’est à dire les produits équipés de puce A6 minimum. En gros, 3X plus puissantes que les A5 tout en étant plus économes en énergie.

Et pour l’avenir ?

Il y a fort à parier pour que la prochaine grosse étape soit le 100% 64 bits.

En effet, l’A7 est le premier processeur de smartphone 64 bits et il est apparu avec l’iPhone 5S. Un atout qui permettra de profiter de meilleures performances et un niveau de sécurité plus élevé sans toucher à l’autonomie.

Un autre atout de l’architecture A7 est la compatibilité avec l’API Metal (induite par le 64 bits), qui permet de tirer le meilleur parti des performances graphiques. En gros, on gagne des performances et de la qualité dans les jeux vidéos et autres animations sans avoir un impact sur la consommation d’énergie.

L’A7 est également compatible avec OpenGL ES 3.0, une autre API graphique moins performante que Metal mais plus populaire.

Il y a donc fort à parier pour que iOS 11 soit une version encore plus stable que iOS 10. Et pour que iOS 12 soit une bombe en termes de sécurité, d’autonomie et d’effets visuels.

Mais ça, c’est pour plus tard.

En conclusion

iOS 10 arrive cet automne, probablement en septembre, avec plein de nouveautés dont la très grande majorité des utilisateurs iOS pourront profiter.

Pour les autres, ils pourront profiter des apps pendant environ 1 an.

Ensuite, s’ils veulent rester à jour, il faudra penser à changer de matériel. Si le budget est limité, Apple propose des appareils reconditionnés à moindre coût.

Sachant que la meilleur rapport qualité/prix du moment reste l’iPhone SE : la puissance d’un iPhone 6S, dans un petit iPhone avec un peu moins de fonctionnalités (écran un peu moindre, pas de 3D Touch), à moins de 500 € (offre à 15,95 € / mois disponible sur le site Apple).

iOS 9 serait installé sur 90 % de appareils compatibles

iOS 9 aurait atteint – si ce n’est dépassé – les 90 % de parts de marché des iPhone et iPad. (source : Mixpanel)

Rien d’étonnant à cela. Son prédécesseur iOS 8 avait connu la même progression en passant les 90 % fin août – début septembre. (sources: Mixpanel, iGen)

Sachant que iOS 7 a dépassé officiellement cette barre symbolique en juillet également (source: iGen)

Pour rappel, iOS 9 est compatible avec les mêmes appareils que iOS 8 : iPhone 4S (2011) et supérieurs. Il n’y a donc aucun frein à son adoption.

Pour iOS 8, sortie fin 2014, Apple avait mis de côté les iPhone 4 (2010).

iOS 10 mettra de côté les iPhone 4S, qui auront 5 ans et représentent aujourd’hui une infime partie (< 4 %) des appareils en circulation. (sources: David Smith, Unity)

En prenant en considération les faits suivants :

  • iOS 8 et versions antérieures sont installés sur moins de 10 % des appareils en circulation
  • les appareils non-compatibles iOS 9 représentent moins de 5 % du marché
  • ces mêmes appareils vont être – au moins en partie – renouvelés pour des iPhone qui sortiront en fin d’année.

Il est certain qu’il vaut mieux aujourd’hui se focaliser sur le développement iOS 9 + qui ne pénalisera que 3 à 4 % des utilisateurs tout au plus. Si toutefois ils auraient pu être des utilisateurs potentiels, ce qui est loin d’être une certitude. (et qui auront toujours accès aux anciennes versions des apps)